(Hook)SetWindowsHookEx和UnhookWindowsHookEx
文章目錄
- 函數功能
- 函數聲明
- 第一個參數
- 第二個參數
- 第三個參數
- 第四個參數
- 返回值
- 包含機制
- 鉤子鏈表
- 鉤子子程
- 安裝釋放
- 運行機制
- 補充說明
- 補充
- 代碼實現
- _tcsrchr 的用法
- 插入一個提示(vs如何打開MSDN幫助文檔)
函數功能
鉤子(Hook),是Windows消息處理機制的一個平臺,應用程序可以在上面設置子程以監視指定窗口的某種消息,而且所監視的窗口可以是其他進程所創建的。當消息到達后,在目標窗口處理函數之前處理它。鉤子機制允許應用程序截獲處理window消息或特定事件。
鉤子實際上是一個處理消息的程序段,通過系統調用,把它掛入系統。每當特定的消息發出,在沒有到達目的窗口前,鉤子程序就先捕獲該消息,亦即鉤子函數先得到控制權。這時鉤子函數即可以加工處理(改變)該消息,也可以不作處理而繼續傳遞該消息,還可以強制結束消息的傳遞。
函數聲明
HHOOK WINAPI SetWindowsHookEx(__in int idHook, \\鉤子類型__in HOOKPROC lpfn, \\回調函數地址__in HINSTANCE hMod, \\實例句柄__in DWORD dwThreadId); \\線程ID) SetWindowsHookEx(WH_KEYBOARD, KeyBoardProc, HInstance, 0);第一個參數
int idHook, //要安裝的鉤子類型 (參考下面的IdHook取值)
其中idHook參數可以取如下常量:
- WH_CALLWNDPROC //窗口鉤子,當系統向目標窗口發送消息時將觸發此鉤子
- WH_CALLWNDPROCRET //窗口鉤子,當窗口處理完消息后將觸發此鉤子
- WH_CBT //當Windows激活、產生、釋放(關閉)、最小化、最大化或改變窗口時都將觸發此事件
- WH_DEBUG //調試鉤子
- WH_GETMESSAGE //當往消息隊列中增加一個消息時將觸發此鉤子
- WH_JOURNALPLAYBACK //回放鉤子,可以用于播放已記錄的鼠標和鍵盤的操作
- WH_JOURNALRECORD //記錄鉤子,可以用于記錄鼠標和鍵盤的操作,木馬程序可以使用此鉤子竊取受控方在屏幕中敲入的密碼
- WH_KEYBOARD //當敲擊鍵盤時將觸發此鉤子
- WH_MOUSE //當有鼠標操作時將觸發此鉤子
- WH_MSGFILTER //消息過濾鉤子
- WH_SHELL //Shell鉤子
- WH_SYSMSGFILTER //系統消息過濾鉤子
使用WH_CBT系統級鉤子,當Windows激活、產生、釋放(關閉)、最小化、最大化或改變窗口時都將觸發此事件,我們在自定義消息函數中只處理關閉窗口的消息,在自定義的鉤子函數若返回0則允許對窗體的操作,返回1則阻止窗口最大化、最小化等操作。另外此鉤子必須使用動態鏈接庫(dll)也就是鉤子函數必須寫在DLL里
第二個參數
HOOKPROC lpfn, //鉤子過程的指針 ,也即攔截到指定系統消息后的預處理過程,須定義在DLL中,回調函數地址
第三個參數
HINSTANCE hMod, //應用程序實例的句柄 如果是全局鉤子, hInstance是DLL句柄(DllMain中給的模塊地址。就是包含HookProc的動態庫加載地址。否則給0就可以了,即勾自己。
第四個參數
DWORD dwThreadId //決定了此鉤子是系統鉤子還是線程鉤子。
要安裝鉤子的線程ID ,指定被監視的線程,如果明確指定了某個線程的ID就只監視該線程,此時的鉤子即為線程鉤子,線程勾子用于監視指定線程的事件消息,線程勾子一般在當前線程或者當前線程派生的線程內;
如果該參數被設置為0,則表示此鉤子為監視系統所有線程的全局鉤子,系統勾子監視系統中的所有線程的事件消息。因為系統勾子會影響系統中所有的應用程序,所以勾子函數必須放在獨立的動態鏈接庫(DLL) 中。系統自動將包含"鉤子回調函數"的DLL映射到受鉤子函數影響的所有進程的地址空間中,即將這個DLL注入了那些進程。
返回值
若此函數執行成功,則返回值就是該掛鉤處理過程的句柄;若此函數執行失敗,則返回值為NULL(0).若想獲得更多錯誤信息,請調用GetLastError函數.
包含機制
鉤子鏈表
每一個Hook都有一個與之相關聯的指針列表,稱之為鉤子鏈表,由系統來維護。這個列表的指針指向指定的,應用程序定義的,被Hook子程調用的回調函數,也就是該鉤子的各個處理子程。當與指定的Hook類型關聯的消息發生時,系統就把這個消息傳遞到Hook子程。 一些Hook子程可以只監視消息,或者修改消息,或者停止消息的前進,避免這些消息傳遞到下一個Hook子程或者目的窗口。最后安裝的鉤子放在鏈的開始, 而最早安裝的鉤子放在最后,也就是后加入的先獲得控制權。
Windows 并不要求鉤子子程的卸載順序一定得和安裝順序相反。每當有一個鉤子被卸載,Windows 便釋放其占用的內存,并更新整個Hook鏈表。如果程序安裝了鉤子,但是在尚未卸載鉤子之前就結束了,那么系統會自動為它做卸載鉤子的操作。
鉤子子程
鉤子子程是一個應用程序定義的回調函數(CALLBACK Function),不能定義成某個類的成員函數,只能定義為普通的C函數。用以監視系統或某一特定類型的事件,這些事件可以是與某一特定線程關聯的,也可以是系統中所有線程的事件。
函數語法:
LRESULT CALLBACK HookProc(int nCode,WPARAM wParam,LPARAM lParam);HookProc是回調函數名。
nCode參數是Hook代碼,Hook子程使用這個參數來確定任務。這個參數的值依賴于Hook類型,每一種Hook都有自己的Hook代碼特征字符集。
wParam和lParam參數的值依賴于Hook代碼,但是它們的典型值是包含了關于發送或者接收消息的信息。
安裝釋放
使用API函數SetWindowsHookEx()把一個應用程序定義的鉤子子程安裝到鉤子鏈表中。 SetWindowsHookEx函數總是在Hook鏈的開頭安裝Hook子程。當指定類型的Hook監視的事件發生時,系統就調用與這個Hook關聯的 Hook鏈的開頭的Hook子程。每一個Hook鏈中的Hook子程都決定是否把這個事件傳遞到下一個Hook子程。Hook子程傳遞事件到下一個 Hook子程需要調用CallNextHookEx函數。
HHOOK SetWindowsHookEx(int idHook, // 鉤子的類型,即它處理的消息類型HOOKPROC lpfn, // 鉤子子程的地址指針。如果dwThreadId參數為0// 或是一個由別的進程創建的線程的標識,// lpfn必須指向DLL中的鉤子子程。// 除此以外,lpfn可以指向當前進程的一段鉤子子程代碼。//鉤子函數的入口地址,當鉤子鉤到任何消息后便調用這個函數。HINSTANCE hMod, // 應用程序實例的句柄。標識包含lpfn所指的子程的DLL。// 如果dwThreadId 標識當前進程創建的一個線程,// 而且子程代碼位于當前進程,hMod必須為NULL。// 可以很簡單的設定其為本應用程序的實例句柄。DWORD dwThreadId // 與安裝的鉤子子程相關聯的線程的標識符。// 如果為0,鉤子子程與所有的線程關聯,即為全局鉤子。);以上所說的鉤子子程與線程相關聯是指在一鉤子鏈表中發給該線程的消息同時發送給鉤子子程,且被鉤子子程先處理。
在鉤子子程中調用得到控制權的鉤子函數在完成對消息的處理后,如果想要該消息繼續傳遞,那么它必須調用另外一個 SDK中的API函數CallNextHookEx來傳遞它,以執行鉤子鏈表所指的下一個鉤子子程。這個函數成功時返回鉤子鏈中下一個鉤子過程的返回值, 返回值的類型依賴于鉤子的類型。這個函數的原型如下:
LRESULT CallNextHookEx(HHOOK hhk;int nCode;WPARAM wParam;LPARAM lParam;);hhk為當前鉤子的句柄,由SetWindowsHookEx()函數返回。
NCode為傳給鉤子過程的事件代碼。
wParam和lParam 分別是傳給鉤子子程的wParam值,其具體含義與鉤子類型有關。
鉤子函數也可以通過直接返回TRUE來丟棄該消息,并阻止該消息的傳遞。否則的話,其他安裝了鉤子的應用程序將不會接收到鉤子的通知而且還有可能產生不正確的結果。
鉤子在使用完之后需要用UnhookWindowsHookEx()卸載,否則會造成麻煩。釋放鉤子比較簡單,()只有一個參數。函數原型如下:
UnhookWindowsHookEx(HHOOK hhk;);函數成功返回TRUE,否則返回FALSE。
運行機制
在Win16環境中,DLL的全局數據對每個載入它的進程來說都是相同的;而在Win32環境中,情況卻發生了變化,DLL函數中的代碼所創建的任何對象(包括變量)都歸調用它的線程或進程所有。當進程在載入DLL時,操作系統自動把DLL地址映射到該進程的私有空間,也就是進程的虛擬地址空間,而且也復制該DLL的全局數據的一份拷貝到該進程空間。也就是說每個進程所擁有的相同的DLL的全局數據,它們的名稱相同,但其值卻并不一定是相同的,而且是互不干涉的。
因此,在Win32環境下要想在多個進程中共享數據,就必須進行必要的設置。在訪問同一個Dll的各進程 之間共享存儲器是通過存儲器映射文件技術實現的。也可以把這些需要共享的數據分離出來,放置在一個獨立的數據段里,并把該段的屬性設置為共享。必須給這些 變量賦初值,否則編譯器會把沒有賦初始值的變量放在一個叫未被初始化的數據段中。
#pragma data_seg預處理指令用于設置共享數據段。例如:#pragma data_seg("SharedDataName")HHOOK hHook=NULL;#pragma data_seg()在#pragma data_seg("SharedDataName")和#pragma data_seg()之間的所有變量將被訪問該Dll的所有進程看到和共享。再加上一條指令#pragma comment(linker,"/section:.SharedDataName,rws"),那么這個數據節中的數據可以在所有DLL的實例之間共 享。所有對這些數據的操作都針對同一個實例的,而不是在每個進程的地址空間中都有一份。
當進程隱式或顯式調用一個動態庫里的函數時,系統都要把這個動態庫映射到這個進程的虛擬地址空間里(以下簡稱"地址空間")。這使得DLL成為進程的一部分,以這個進程的身份執行,使用這個進程的堆棧。
補充說明
二.
BOOL UnhookWindowsHookEx( HHOOK hhk //要注銷的鉤子句柄 )配合這兩個函數還要配合一些相應的回調函數,一個鉤子就做好了
補充
SetWindowsHookEx第一個參數的近一步完善版,有興趣的可以看看:
1、WH_CALLWNDPROC和WH_CALLWNDPROCRETHooks
WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以監視發送到窗口過程的消息。系統在消息發送到接收窗口過程之前調用WH_CALLWNDPROC Hook子程,并且在窗口過程處理完消息之后調用WH_CALLWNDPROCRET Hook子程。
WH_CALLWNDPROCRET Hook傳遞指針到CWPRETSTRUCT結構,再傳遞到Hook子程。
CWPRETSTRUCT結構包含了來自處理消息的窗口過程的返回值,同樣也包括了與這個消息關聯的消息參數。
2、WH_CBTHook
在以下事件之前,系統都會調用WH_CBT Hook子程,這些事件包括:
1)激活,建立,銷毀,最小化,最大化,移動,改變尺寸等窗口事件;
2)完成系統指令;
3)來自系統消息隊列中的移動鼠標,鍵盤事件;
4)設置輸入焦點事件;
5)同步系統消息隊列事件。
Hook子程的返回值確定系統是否允許或者防止這些操作中的一個。
3、WH_DEBUGHook
在系統調用系統中與其他Hook關聯的Hook子程之前,系統會調用WH_DEBUG Hook子程。你可以使用這個Hook來決定是否允許系統調用與其他Hook關聯的Hook子程。
4、WH_FOREGROUNDIDLEHook
當應用程序的前臺線程處于空閑狀態時,可以使用WH_FOREGROUNDIDLE Hook執行低優先級的任務。當應用程序的前臺線程大概要變成空閑狀態時,系統就會調用WH_FOREGROUNDIDLE Hook子程。
5、WH_GETMESSAGEHook
應用程序使用WH_GETMESSAGE Hook來監視從GetMessage or PeekMessage函數返回的消息。你可以使用WH_GETMESSAGE Hook去監視鼠標和鍵盤輸入,以及其他發送到消息隊列中的消息。
6、WH_JOURNALPLAYBACKHook
WH_JOURNALPLAYBACK Hook使應用程序可以插入消息到系統消息隊列。可以使用這個Hook回放通過使用WH_JOURNALRECORD Hook記錄下來的連續的鼠標和鍵盤事件。只要WH_JOURNALPLAYBACK Hook已經安裝,正常的鼠標和鍵盤事件就是無效的。
WH_JOURNALPLAYBACK Hook是全局Hook,它不能象線程特定Hook一樣使用。
WH_JOURNALPLAYBACK Hook返回超時值,這個值告訴系統在處理來自回放Hook當前消息之前需要等待多長時間(毫秒)。這就使Hook可以控制實時事件的回放。
WH_JOURNALPLAYBACK是system-wide local hooks,它們不會被注射到任何行程位址空間。
7、WH_JOURNALRECORDHook
WH_JOURNALRECORD Hook用來監視和記錄輸入事件。典型的,可以使用這個Hook記錄連續的鼠標和鍵盤事件,然后通過使用WH_JOURNALPLAYBACK Hook來回放。
WH_JOURNALRECORD Hook是全局Hook,它不能象線程特定Hook一樣使用。
WH_JOURNALRECORD是system-wide local hooks,它們不會被注射到任何行程位址空間。
8、WH_KEYBOARDHook
在應用程序中,WH_KEYBOARD Hook用來監視WM_KEYDOWN and WM_KEYUP消息,這些消息通過GetMessage or PeekMessage function返回。可以使用這個Hook來監視輸入到消息隊列中的鍵盤消息。
9、WH_KEYBOARD_LLHook
WH_KEYBOARD_LL Hook監視輸入到線程消息隊列中的鍵盤消息。
10、WH_MOUSEHook
WH_MOUSE Hook監視從GetMessage 或者 PeekMessage 函數返回的鼠標消息。使用這個Hook監視輸入到消息隊列中的鼠標消息。
11、WH_MOUSE_LLHook
WH_MOUSE_LL Hook監視輸入到線程消息隊列中的鼠標消息。
12、WH_MSGFILTER和WH_SYSMSGFILTERHooks
WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我們可以監視菜單,滾動條,消息框,對話框消息并且發現用戶使用ALT+TAB or ALT+ESC 組合鍵切換窗口。WH_MSGFILTER Hook只能監視傳遞到菜單,滾動條,消息框的消息,以及傳遞到通過安裝了Hook子程的應用程序建立的對話框的消息。WH_SYSMSGFILTER Hook監視所有應用程序消息。
WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我們可以在模式循環期間過濾消息,這等價于在主消息循環中過濾消息。
通過調用CallMsgFilter function可以直接的調用WH_MSGFILTER Hook。通過使用這個函數,應用程序能夠在模式循環期間使用相同的代碼去過濾消息,如同在主消息循環里一樣。
13、WH_SHELLHook
外殼應用程序可以使用WH_SHELL Hook去接收重要的通知。當外殼應用程序是激活的并且當頂層窗口建立或者銷毀時,系統調用WH_SHELL Hook子程。
WH_SHELL 共有5鐘情況:
1)只要有個top-level、unowned 窗口被產生、起作用、或是被摧毀;
2)當Taskbar需要重畫某個按鈕;
3)當系統需要顯示關于Taskbar的一個程序的最小化形式;
4)當如今的鍵盤布局狀態改變;
5)當使用者按Ctrl+Esc去執行Task Manager(或相同級別的程序)。
按照慣例,外殼應用程序都不接收WH_SHELL消息。所以,在應用程序能夠接收WH_SHELL消息之前,應用程序必須調用SystemParametersInfo function注冊它自己。
也就是說,如果你的App沒有調用如下代碼注冊自己之前,那么它永遠也不會響應你的ShellProc:
//MINIMIZEDMETRICS mm = {sizeof(MINIMIZEDMETRICS), 0,0, ARW_HIDE};MINIMIZEDMETRICS mm = {sizeof(MINIMIZEDMETRICS), 0,0, 0, ARW_HIDE};SystemParametersInfo(SPI_SETMINIMIZEDMETRICS, sizeof(MINIMIZEDMETRICS) , &mm, 0);代碼實現
#include<iostream> #include<Windows.h> #include<conio.h> #define DEF_PROCESS_NAME "notepad.exe" MSG msg; HINSTANCE g_hInstance = NULL; HHOOK g_hHook = NULL; HWND g_hWnd = NULL;LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam) {char szPath[MAX_PATH] = { 0, };char* p = NULL;if (nCode >= 0) {if (!(lParam & 0x80000000)) { GetModuleFileNameA(NULL, szPath, MAX_PATH);p = strrchr(szPath, '\\');//return 1;MessageBoxA(NULL, "你被hook了", "別掙扎了", 0);}}return CallNextHookEx(g_hHook, nCode, wParam, lParam); }void HookStart() {g_hHook = SetWindowsHookEx(WH_KEYBOARD_LL, KeyboardProc, g_hInstance, 0); }void HookStop() {if (g_hHook) {UnhookWindowsHookEx(g_hHook);g_hHook = NULL;} }void main() {HMODULE hDll = NULL;char ch = 0;//開始勾取HookStart();while (GetMessage(&msg, NULL, 0, 0)) {TranslateMessage(&msg);DispatchMessage(&msg);};/*//終止勾取HookStop();}_tcsrchr 的用法
兩個參數
第一個參數:字符串
第二個參數:查找的字符
返回值:指向最后一次在字符串中出現的該字符的指針,如果要查找的字符再串中沒有出現,則返回NULL。
鍵盤按炸了也按不上去。。這是全局鉤子。需要針對某個進程的話,回調函數里自行判斷一下即可
另外,如果對這幾行代碼有疑問可查看這篇博客:
https://blog.csdn.net/CSNN2019/article/details/112524802
低級鉤子、WH_鍵盤_LL和WH_鼠標_LL與所有其他鉤子不同.它們不需要向目標進程注入DLL。相反,Windows在您自己的進程中直接調用鉤子回調。要使其工作,需要一個消息循環。Windows沒有其他機制對主線程進行回調,只有在調用GET/PeekMessage()從而使Windows處于控制狀態時,回調才會發生。
像WH_鍵盤這樣的全局鉤子是非常不同的。它需要一個DLL,回調發生在處理鍵盤消息的進程中。你需要某種進程間的交流來讓你自己的程序意識到這一點。命名管道是通常的選擇。否則,當然需要這個注入的進程泵出一個消息循環。否則它不會收到鍵盤信息
喜歡低水平的鉤子,他們是多更容易開始。但要泵否則就不能用了。并且要小心超時,如果你沒有足夠的響應,那么Windows會在沒有通知的情況下殺死你的鉤子
這篇文章有詳細講解:https://stackoverflow.com/questions/7458807/why-must-setwindowshookex-be-used-with-a-windows-message-queue
插入一個提示(vs如何打開MSDN幫助文檔)
比如要查看float的特征。
在vs中輸入float,然后按F1鍵,會在默認瀏覽器上打開幫助文檔。
總結
以上是生活随笔為你收集整理的(Hook)SetWindowsHookEx和UnhookWindowsHookEx的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: c/c++ typedef定义函数指针
- 下一篇: dll注入之SetWindowsHook